El nou atac RAMBO roba dades de sistemes amb buit d'aire mitjançant senyals de ràdio RAM

El Mura el Seguretat informàtica

Traduir a:

Les amenaces a la ciberseguretat continuen evolucionant i un nou mètode de robatori de dades anomenat atac "RAMBO" suposa un risc greu, fins i tot per als sistemes amb buit d'aire. Aquesta tècnica sofisticada, desenvolupada per Mordechai Guri de la Universitat Ben-Gurion del Negev a Israel, permet als atacants exfiltrar dades mitjançant senyals de ràdio emesos per la memòria (RAM) de sistemes aïllats. Desglossem què significa això i com afecta la ciberseguretat.

Taula de continguts

Què és un sistema d'aire-gapped?

Els sistemes amb buit d'aire estan dissenyats per estar separats físicament i lògicament de qualsevol xarxa externa, com ara Internet. Les organitzacions utilitzen l'aire lliure com a mesura de seguretat per protegir les dades crítiques i sensibles de les amenaces cibernètiques. Tanmateix, tot i que l'espai d'aire millora la seguretat, no fa que aquests sistemes siguin totalment immunes als atacs. Al llarg dels anys, diverses famílies de programari maliciós , com Stuxnet , Fanny i PlugX , s'han orientat específicament als sistemes amb buit d'aire.

Com funciona l'atac RAMBO?

L'atac RAMBO (Radiated Memory Bus Oscillations) es dirigeix a ordinadors amb buit d'aire mitjançant l'explotació dels senyals electromagnètics generats per la seva memòria RAM. Així és com funciona:

Desplegament de programari maliciós : el primer pas de l'atac és infectar el sistema amb buits d'aire amb programari maliciós. Això pot passar per una unitat USB compromesa, un atac intern o una vulnerabilitat de la cadena de subministrament que injecta el programari maliciós al maquinari o al programari.
Codificació de dades i transmissió de senyals : un cop instal·lat el programari maliciós, manipula la memòria RAM del sistema per generar senyals electromagnètics codificats. La transferència ràpida de dades dins de la memòria RAM crea petites ones electromagnètiques, que poden irradiar dades a freqüències específiques.
Exfiltració de dades : els atacants utilitzen maquinari de ràdio definida per programari (SDR) i una antena bàsica per capturar aquests senyals des de fins a 7 metres (23 peus) de distància. El programari maliciós codifica informació sensible, com ara claus de xifratge, dades biomètriques, imatges i pulsacions de tecles, que es transmet mitjançant aquests senyals de ràdio. La taxa d'exfiltració és d'uns 1.000 bits per segon, la qual cosa, encara que lenta, és més que suficient per filtrar informació crítica.

El mètode RAMBO en detall

RAMBO és una nova forma de comunicació de canal encobert amb buit d'aire. Aprofita les emissions electromagnètiques de la memòria RAM, que es produeixen a causa dels canvis ràpids de voltatge i corrent quan es transfereixen les dades. Aquestes emissions estan directament influenciades per factors com la velocitat del rellotge del sistema i l'amplada de dades.

En controlar acuradament els patrons d'accés a la memòria, l'atacant pot generar un senyal binari. Aquest senyal pot ser rebut i descodificat per l'atacant mitjançant maquinari SDR i una antena estàndard. L'investigador que hi ha darrere d'aquest mètode, Mordechai Guri, va demostrar amb èxit com aquest atac pot filtrar dades de sistemes aïllats a receptors propers.

Com són encara vulnerables els sistemes amb buit d'aire?

Molts creuen que els sistemes amb buit d'aire són intocables a causa del seu aïllament de les xarxes, però aquest atac demostra el contrari. L'aïllament físic per si sol no pot protegir contra tècniques avançades com l'atac RAMBO, que explota comportaments fonamentals del maquinari que es poden observar i capturar sense fil.

Tot i que hi ha desenes de soques de programari maliciós documentades dirigides a sistemes amb buit d'aire, RAMBO presenta un risc únic perquè no requereix accés físic directe per exfiltrar dades. L'atacant només necessita infectar el sistema amb el programari maliciós i disposar d'un dispositiu per capturar els senyals electromagnètics des de curta distància.

Contramesures defensives contra els atacs RAMBO

Afortunadament, hi ha contramesures que poden ajudar a defensar-se dels atacs a l'estil RAMBO:

Blindatge i gàbies de Faraday : tancar sistemes crítics a les gàbies de Faraday pot bloquejar les emissions electromagnètiques, impedint la transmissió del senyal.
Generadors d'embussos i de soroll : el desplegament d'embussos electromagnètics o generadors de soroll pot interferir amb els senyals emesos per la memòria RAM, dificultant que els atacants capturen dades clares.
Detecció de programari maliciós millorada : reforçar els protocols de detecció de programari maliciós en sistemes amb buit d'aire pot ajudar a identificar i eliminar les amenaces abans que puguin manipular la memòria RAM per generar senyals.
Reducció d'emissions electromagnètiques : els fabricants de maquinari poden centrar-se en dissenyar sistemes amb emissions electromagnètiques reduïdes, cosa que fa que sigui més difícil que aquests atacs tinguin èxit.

Pensaments finals

L'atac RAMBO demostra la naturalesa evolutiva de les amenaces cibernètiques, demostrant que fins i tot els sistemes amb buit d'aire no són invulnerables. Entendre com funcionen aquests atacs és clau per desenvolupar defenses sòlides. Les organitzacions amb dades molt sensibles haurien de considerar la implementació de mesures de protecció com ara la protecció del senyal i la millora de les seves capacitats de detecció de programari maliciós per protegir-se d'aquesta forma avançada de robatori de dades.

Per obtenir informació més detallada i les últimes actualitzacions en seguretat informàtica, estigueu atents a EnigmaSoftware.com. Estigueu sempre un pas per davant dels ciberdelinqüents reforçant els vostres sistemes i implementant les millors defenses contra amenaces emergents com l'atac RAMBO.

SpyHunter per a Windows d'EnigmaSoft ha aconseguit la certificació AV-TEST

Cerca

Canvia de regió